Tampereen ammattikorkeakoulu Tietotekniikan koulutusohjelma Tietoliikennetekniikka ja Tietoverkot Jani Nykänen Opinnäytetyö

Symantec Management Platformin käyttöönotto Insta Group Oy:ssä Työn ohjaaja Koulutuspäällikkö, Ari Rantala Työn tilaaja Insta Group Oy, ohjaajana Janne Reinola Tampere 6/2010

i Tampereen ammattikorkeakoulu Tietotekniikan koulutusohjelma Tietoliikennetekniikka ja Tietoverkot Tekijä: Jani Nykänen Työn nimi: Symantec Management Platformin käyttöönotto Insta Group Oy:ssä Sivumäärä: 31 Valmistumisaika: 6/2010 Työn ohjaaja: Koulutuspäällikkö, Ari Rantala Työn tilaaja: Insta Group Oy, ohjaajana Janne Reinola ____________________________________________________________________ TIIVISTELMÄ Tämän työn tarkoituksena oli olla mukana käyttöönottamassa Symantecin Managent Platformia Insta Group Oy:ssä. Tarkoituksena oli myös luoda käyttöönotosta dokumentti, joka antaa lukijalle hyvän yleiskuvan Management Platformin ominaisuuksista ja luo pohjan sen käyttämiselle. Kirjallinen työ on laadittu minun omien kokemuksieni ja tietojeni pohjalta. Omat tietoni pohjautuvat UBM:n järjestämään kolmen päivän koulutukseen ja siihen liittyvään koulutusmateriaaliin, sekä Symantecin tietämyskantaan. Symantec management Platform käyttöönotettiin Insta Group Oy:ssä talven 2009-2010 aikana ja sen vaikutuksia työn tehostumiseen päästään tarkkailemaan lähitulevaisuudessa. ____________________________________________________________________ Avainsanat opinnäytetyö, käyttöönotto, Symantec, Management Platform, altiris

ii TAMK University of Applied Sciences Information Technology Telecommunications and Information Networks Writer: Jani Nykänen Thesis: Commissioning Symantec Management Platform in Insta Group Oy Pages: 31 Graduation time: 6/2010 Thesis Supervisor: Ari Rantala Co-operating Company: Insta Group Oy ____________________________________________________________________ ABSTRACT The purpose of this work was to be involved in commissioning Symantec Managent Platform in Insta Group Oy. It was also designed to create the commissioning documentary, which give the reader a good overview of the Management Platforms features and creates a good basis for its use. This document was written in my own personal experience and my knowledge basis. My details are based on UBM hold three days of training and related training materials, as well as Symantec knowledge base. Symantec Management Platform was commissioned in Insta Group Oy during the winter of 2009-2010 and its impact on work intensification can be observed in the near future. ____________________________________________________________________ Keywords thesis, commissioning, Symantec, Management Platform, altiris

iii

Esipuhe Työskentelen tamperelaisessa, pääosin puolustus-, turvallisuus- ja teollisuusautomaatioteknologiaan keskittyneessä Insta Group Oy:ssä. Työtehtäviini kuluu sisäisen IT-tuen tekeminen, mikä pitää sisällään työasemien ja ohjelmistojen asennuksia, sekä ongelmatilanteiden ratkaisuja. Työasemien määrän kasvaessa on tullut tarvetta tehostaa ohjelmistojen ja käyttöjärjestelmien asentamista, työasemien etähallinnointia, tietoturvapäivitysten jakamista, sekä ohjelmisto- ja laitetietojen keräämistä työasemilta. Tähän olemme katsoneet soveltuvimmaksi järjestelmäksi Symantecin Management Platform ohjelmiston. Management Platformin avulla pystytään tehostamaan IT-tuen jokapäiväisiä työtehtäviä. Management Platform auttaa myös ylläpitämään korkeaa tietoturvaa, mikä on ensiarvoisen tärkeää kun työskentelemme puolustus- ja turvallisuusteknologian parissa. Tämän työn tavoitteena oli perehtyä Symantecin Management Platform ohjelmistoon ja olla mukana käyttöönottamassa tätä järjestelmää Insta Group Oy:ssä, sekä tehdä tämän pohjalta käyttöönottodokumentaatio. Tampereella kesäkuussa 2010 Jani Nykänen

iv

Termit ja Lyhenteet ASP.NET Active Server Pages. Verkkosovelluskehys, joka perustuu

.NET arkkitehtuuriin. DS Altiris Deployment Solution Server. IIS Internet Information Service. Microsoftin kehittämä web-

palvelinohjelmisto. IP Internet Protocol. Internet protokolla, joka huolehtii IP-

tietoliikennepakettien toimittamisesta perille. Kaikilla tietoverkkoihin liitetyillä laitteilla on IP-osoite.

MSI Windows Installer (aiemmin Microsoft Installer). MSI-

pakettien asentamiseen, korjaamiseen ja poistamiseen tarkoitettu asennusmoottori.

NS Notification Server Service Pack Kokoelma päivityksiä ja korjauksia SID Security Identifier. Windows ympäristössä jokaisella,

käyttäjällä, käyttäjäryhmällä ja työasemalla on oma yksilöllinen tunnuksensa.

Silverlight Microsoftin kehittämä videon toistoon tarkoitettu selain

liitännäinen. Tukee .NET kieliä. SQL Structured Query Language. Tietokantojen hallinnointiin

tarkoitettu kyselykieli. Windows PE Windows Preinstallation Environment. Microsoftin

esiasennusympäristö, mitä käytetään apuna työasema-asennuksissa.

.NET Framework Microsoftin kehittämä ohjelmistokomponenttikirjasto.

Tampereen ammattikorkeakoulu Tietotekniikan koulutusohjelma Tietoliikennetekniikka ja Tietoverkot

Sisällysluettelo Tiivistelmä…………………………………………………………….…………….…………i

Abstract……………………………………………………………………………………….ii

Esipuhe……………………………………………………………………………………….iii

Termit ja lyhenteet………………………………………………………….………………..iv

1 Johdanto ................................................................................................................................ 1

2 Management Platformin ominaisuudet ................................................................................. 2

2.1 Notification Server ......................................................................................................... 2

2.1.1 Inventointi ............................................................................................................... 2

2.1.2 Tietoturvapäivitykset .............................................................................................. 2

2.1.3 Ohjelmistojen asennukset ....................................................................................... 3

2.1.4 Raportointi .............................................................................................................. 3

2.1.5 Etähallinta ............................................................................................................... 3

2.2 Altiris Deployment Solution Server ............................................................................... 4

2.2.1 Käyttöjärjestelmien asennukset ............................................................................... 4

2.2.2 Virtualisointi ........................................................................................................... 4

3 Asennus ................................................................................................................................. 5

3.1 Laitteisto- ja ojelmistovaatimukset ................................................................................ 5

3.2 Palvelimien asennus ....................................................................................................... 6

4 Agenttien asennukset ............................................................................................................ 8

4.1 Symantec Management Agent ....................................................................................... 8

4.1.1 Push asennus ........................................................................................................... 8

4.1.2 Pull asennus ............................................................................................................ 9

4.1.3 Symantec Management Agentin Aliagentit ............................................................ 9

4.2 Altiris Dagent ............................................................................................................... 10

5 Esimerkkejä Management Platformin toiminnasta ............................................................. 11

5.1 Inventointi .................................................................................................................... 11

5.2 Tietoturvapäivitykset ................................................................................................... 11

5.3 Ohjelmistopakettien luominen ..................................................................................... 14

5.3.1 Microsoft Visio Professional 2003 asennuspaketin luominen .............................. 15

5.3.2 Microsoft Visio Professional 2003 Service Pack 3 asennuspaketin luominen ..... 17

5.4 Ohjelmistopakettien jakaminen.................................................................................... 18

5.4.1 Keskitetty asennus (Managed software delivery) ................................................. 19

5.4.2 Pika-asennus (Quick delivery) .............................................................................. 20

5.4.3 Ohjelmistoportaali (Software portal) .................................................................... 21

5.5 Raportointi ................................................................................................................... 22

5.6 Suodattimet (Filtterit) ................................................................................................... 23

5.7 Käyttöjärjestelmien asennukset ................................................................................ 24

5.7.1 Asennusten valmistelu .......................................................................................... 24

5.7.2 Levyimagen luonti ................................................................................................ 25

5.7.3 Levyimagen asennus ............................................................................................. 25

5.8 Etähallinta .................................................................................................................... 26

5.8.1 Deployment Solution Server etähallinta ............................................................... 26

5.8.2 pcAnywhere etähallinta ......................................................................................... 27

6 Yhteenveto .......................................................................................................................... 29

Lähteet ................................................................................................................................... 30

Liitteet .................................................................................................................................... 31

Liite 1: Esimerkki filtterin SQL kyselystä ......................................................................... 31

1 (31)

1 Johdanto

Tämän työn tarkoituksena on antaa lukijalle hyvä kuva Symantec Management

Platformin ominaisuuksista ja myös mahdollistaa sen käyttäminen.

Aluksi työssä kerrotaan yleisellä tasolla, mitä Symantec Management Platformilla

voi tehdä ja myöhemmin perehdytään kaikkiin noihin asioihin hieman

käytännönläheisemmin. Tämän työn perusteella lukijan pitäisi olla mahdollista

esimerkiksi luoda ja jakaa ohjelmistopaketteja Windows ympäristössä.

Symantec Management Platform on todella laaja kokonaisuus, eikä tässä työssä ole

käsitelty aivan kaikkia ominaisuuksia. Kaikki työasemahallinnoinnin kannalta

tärkeimmät asiat on kuitenkin käsitelty sen verran tarkasti, että lukija saa valmiudet

niiden tehokkaaseen käyttämiseen.

2 (31)

2 Management Platformin ominaisuudet

Management Platformiin kuuluu Notification Server ja Altiris Deployment Solution.

Notification Serveristä hankimme version 7 ja Altiris Deployment Solutionista

version 6.9. Seuraavissa kappaleissa perehdytään näiden kahden järjestelmän

ominaisuuksiin.

2.1 Notification Server

Notification Serverin pääasialliset käyttötarkoitukset koostuvat inventoinnista,

tietoturvapäivitysten ja ohjelmistopakettien jakamisesta, sekä raportoinnista.

2.1.1 Inventointi

Työasemien inventointi on merkittävän tärkeä yrityksen laitteistojen ja ohjelmistojen

hallinnassa. Inventoinnin avulla pysytään ajan tasalla laitteistojen päivitystarpeista ja

se antaa mahdollisuuden ohjelmistolisenssien tehokkaaseen hallintaan. Tämän avulla

nähdään mitä ohjelmia on käytössä ja siten pystytään tarkistamaan onko lisenssejä

riittävä määrä. Tällöin pystytään myös varmistamaan, ettei maksa tarpeettomista

lisensseistä ja mahdollisesti vapautuneet lisenssit voidaan siirtää niitä tarvitseville.

2.1.2 Tietoturvapäivitykset

Microsoftin ja Adoben tietoturvapäivitykset voidaan asentaa työasemiin helposti

Patch Remediation Centerin avulla. Notification Serverin avulla pystytään

varmistamaan, että tärkeät tietoturva-aukkoja korjaavat päivitykset ovat varmasti

asennettu kaikkiin työasemiin. Testiryhmien avulla pystytään helposti varmistamaan,

että uudet tietoturvapäivitykset toimivat ongelmitta, ennen kuin ne jaetaan kaikille

työasemille.

Tietoturvapäivityksiä tulee muihinkin kuin Microsoftin ja Adoben sovelluksiin.

Näistä päivityksistä pitää tehdä erilliset jakelupaketit, minkä jälkeen ne voidaan jakaa

niitä tarvitseville työasemille.

3 (31)

2.1.3 Ohjelmistojen asennukset

Ohjelmistoista tehdään asennuspaketteja, joihin voidaan määritellä erilaisia

kokoonpanoja tai asetuksia eri käyttäjäryhmille. Ohjelmistojen asennus tapahtuu

etäasennuksena. Valitaan työasema tai työasemia ja laitetaan ohjelmiston

asennuspaketti jakoon. Ohjelmiston asennus ei vaadi mitään käyttäjän toimenpiteitä

kohdetyöasemalla.

Notication Serverillä voidaan hoitaa laajempiakin ohjelmistopäivityksiä tehokkaasti.

Hyvänä esimerkkinä voisi olla esimerkiksi Microsoft Office ohjelmiston päivitys

uudempaan versioon. Tällöin päivitettäviä koneita olisi satoja. Ohjelmisto voidaan

laittaa jakoon kaikille koneille samanaikaisesti. NS osaa jakaa päivitykset siten, ettei

verkko kuormitu liikaa.

2.1.4 Raportointi

Raportointityökaluilla saadaan tehtyä raportteja esimerkiksi asennetuista ohjelmista,

päivityksistä ja laitekokoonpanoista. Notification Serverissä on valmiina kymmeniä

erilaisia raportteja, joita voi käyttää. Uusia raportteja voi myös tehdä myös itse tai

yhdistellä vanhoja siten, että niihin saadaan näkyviin kaikki halutut tiedot

työasemista. Tämä tosin vaatii hieman SQL-osaamista.

2.1.5 Etähallinta

Etähallintatyökalulla voidaan ottaa käyttäjän kone hallintaan ja ohjailla sitä etäältä.

Näin voidaan nopeasti hoitaa käyttäjän koneessa ilmeneviä ongelmia tai tehdä

diagnoosia ongelmasta, mikäli ei ole tarkkaa tietoa mikä ongelman on aiheuttanut.

Sekä Notification Serverissä, että Altiris Deployment Solution Serverissä on

molemmissa omat etähallintaohjelmansa joihin perehdytään hieman tarkemmin

kappaleessa 5.8.

4 (31)

2.2 Altiris Deployment Solution Server

Altiris Deployment Solution Serverin toiminta keskittyy pääasiassa työasemien

asennukseen ja ohjelmistovirtualisointiin.

2.2.1 Käyttöjärjestelmien asennukset

Altiriksen avulla uusien työasemien asentaminen voidaan automatisoida niin pitkälle,

että IT-tuki kytkee uuteen puhtaaseen työasemaan johdot kiinni ja käynnistää sen

CD-levyltä, muistitikulta tai käyttää network boottia. Työasema ottaa yhteyden

palvelimeen, minkä jälkeen kyseiseen työasemaan kohdistetaan haluttu asennustyö ja

sen jälkeen DS asentaa automaattisesti käyttöjärjestelmän ja käyttäjän tarvitsemat

sovellukset.

2.2.2 Virtualisointi

Virtualisoinnilla tarkoitetaan sitä, että sovellus asennetaan todellisuudessa

piilotettuun kansioon, mutta se kuitenkin näkyy käyttäjälle niin kuin kaikki muutkin

sovellukset. Vaikka käyttäjä poistaisi sovelluksen, se ei oikeasti katoa työasemalta,

vaan se säilyy koko ajan piilotetussa kansiossa. Sovellus voidaan aktivoida uudestaan

Management Platform palvelimelta, jolloin se tulee taas käyttäjälle näkyviin.

Sovelluksia voidaan asentaa työasemiin jo etukäteen siten, etteivät ne näy käyttäjälle.

Jos käyttäjä tarvitsee kyseistä sovellusta ja lisenssi on hankittu, voidaan sovellus

kytkeä palvelimelta päälle. Tällöin sovellus tulee käyttäjälle näkyväksi, eikä tässä

vaiheessa tarvita enää minkäänlaista asennusta. Sovellus voidaan myös ottaa pois

päältä, mikäli käyttäjä ei enää sitä tarvitse. Tällöin sovellus häviää käyttäjältä

näkyvistä ja lisenssi voidaan siirtää uudelle käyttäjälle.

Virtuaaliohjelmistopakettien tekemiseen tarvitaan erillinen ohjelma, kuten

esimerkiksi Symantec Endpoint Virtualization Suite. Emme ole vielä ottaneet

virtualisointitoimintoa käyttöön, joten en perehdy siihen tämän syvällisemmin.

5 (31)

3 Asennus

Ennen Management Platformin asennusta on otettava huomioon laitteisto- ja

ohjelmistovaatimukset, että voidaan hankkia tarkoitukseen sopivat palvelimet,

käyttöjärjestelmät ja ohjelmistot.

3.1 Laitteisto- ja ojelmistovaatimukset

Management Platform ja tietokanta olisi voitu asentaa samalle palvelimelle, mutta

päätimme jättää hieman kasvunvaraa tulevaisuutta silmällä pitäen ja hankimme

molemmille oman palvelimen. Näin ollen työasemien määrän kasvaessa

suorituskyky ei lopu kesken. Toiseen palvelimeen asennettiin Symantec Management

Platform ja Deployment Solution 6.9 ja toiseen palvelimeen Microsoft SQL Server

2005 standard.

Molemmissa palvelimissa on neliytiminen Intel Xeon prosessori ja 4GB

keskusmuistia, sekä käyttöjärjestelmänä Microsoft Windows Server 2003 R2

Standard Edition SP2. Alla on vielä lueteltu Management Platform palvelimen

laitteisto- ja ohjelmistovaatimukset, sekä käyttöjärjestelmät mihin Symantec

Management Agentin voi asentaa.

Palvelin

- 4 ytiminen prosessori (2.53GHz)

- 4GB keskusmuistia

- .NET Framework 3.5

- Internet Explorer 7 tai 8

- SQL Server 2005 (omalla palvelimellaan)

- Windows 2003 Server 32-bit

- IIS 6

Windows agent

- Windows XP SP2 tai uudempi

- Windows 2000 SP4

6 (31)

- Windows Vista SP1

- Windows Server 2003 ja 2008

- Windows 7

Linux agent

- Red Hat Enterprise Linux 3, 4 ja 5

- SUSE Linux Enterprise Desktop 10

Mac agent

- Mac OS X 10.3.9, 10.4.x ja 10.5.x

- Mac OS X Server 10.3.9, 10.4.x ja 10.5.x

Notificatin Serveriä hallitaan Symantec Management Consolella, mikä on Internet

Explorerissa toimiva hallintaohjelma. Tämän hallintaohjelman suorituskykyä

pystytään hieman parantamaan asentamalla seuraavat ohjelmat työasemalle, mistä

hallintaohjelmaa suoritetaan:

- JRE 6 (JAVA Runtime Environment 6)

- Silverlight 3.0

- Flash Player 10

3.2 Palvelimien asennus

Ennen ohjelmistojen asennusta on valmisteltava palvelimet. Sekä altiris-, että

tietokantapalvelimelle asennetaan 32 bittinen Windows Server 2003 R2 ja siihen

kaikki uusimmat tietoturvapäivitykset. Tämän jälkeen palvelimet nimetään, liitetään

käytössä olevaan toimialueeseen (domainiin) ja niihin asennetaan

virustorjuntaohjelmistot.

Seuraavaksi tietokantapalvelimelle asennetaan SQL Server 2005. Kun tietokanta on

asennettu, voidaan aloittaa Management Platform palvelimen asennus. Management

Platform palvelimelle pitää asentaa vaatimuksissa ilmoitettu .NET Framework 3.5,

sekä ottaa myös käyttöön IIS ja ASP.net. Kun esivaatimukset on täytetty,

käynnistetään SIM (Symantec Installation Manager) ja valitaan sieltä asennettavaksi

Symantec Management Platform SP4. Symantec Management Platformin

asennuksen jälkeen voidaan asentaa loput komponentit.

7 (31)

Deployment Solution 6.9:n asennukseen on oma asennuspakettinsa, mistä asennus

käynnistetään. Asennuksessa huomionarvoisia seikkoja ovat:

- Luodaan verkkojako, mihin kaikilla agenteilla pitää olla pääsy

- Palvelimen IP osoite

- Altirispalvelimella pitää olla paikallinen käyttäjä järjestelmänvalvojan

oikeuksilla

- Määritellään tietokantapalvelimen nimi ja käytettävä portti, sekä tietokannan

nimi

- Asennetaan Deployment Console, millä Deployment Solutionia voidaan

hallinnoida.

8 (31)

4 Agenttien asennukset

Jokaiselle hallittavalle työasemalle on asennettava useita agentteja, että kaikkia

Symantec Management Platformin ominaisuuksia voidaan niissä käyttää.

4.1 Symantec Management Agent

Symantec Management Agent on Symantec Management Platformin pääagentti ja

sen alle asennetaan vielä monia aliagentteja. Agentin voi asentaa joko push tai pull

asennuksena. Push asennus voidaan suorittaa myös policy pohjaisena asennuksena,

jolloin kohteeksi valitaan jokin suurempi joukko työasemia ja asennukset voidaan

ajastaa tiettyyn kellonaikaan ja tarvittaessa toistaa.

4.1.1 Push asennus

Push asennuksessa valitaan kohde työasema tai työasemia manuaalisesti kaikkien

työasemien joukosta ja suoritetaan asennus näihin. Mikäli asennus ei jostain syystä

onnistu, on asennus suoritettava uudestaan.

Policypohjaisessa push asennuksessa kohteeksi valitaan filtteri, mikä on jo

aikaisemmin tehty. Filttereihin perehdytään tarkemmin kappaleessa 5.6.

Asennusajankohdan voi määrittää sellaiseksi, ettei se haittaa käyttäjien työskentelyä.

Tähän voidaan myös määritellä automaattinen toisto, mikäli asennus jostain syystä

epäonnistuu. Asennukseen voi asettaa useita filttereitä, jolloin saadaan tarkka

kohderyhmä asennukselle.

Esimerkkinä voisi olla vaikkapa kaksi filtteriä:

• Filtteri 1: Kaikki työasemat, joissa on windows xp asennettuna

• Filtteri 2: Poisluetaan työasemat joissa on jo client asennettuna

Kun policy laitetaan päälle ja määritelty asennusaika on saavutettu, alkaa

Notification Server asentaa agentteja työasemille. Kun agentti on asennettu, ilmoittaa

se palvelimelle asennuksen onnistumisesta ja kyseinen työasema häviää

kohdekoneiden listalta. Kun yksi asennuskierros on mennyt loppuun, on

9 (31)

kohdekoneiden listalla ainoastaan ne työasemat joihin agentti ei ole vielä asennettu.

Asetuksissa määritellyn ajan kuluttua palvelin yrittää suorittaa asennuksen uudelleen

jäljellä oleviin työasemiin. Tämä toistuu niin monta kertaa, että kaikissa valituissa

työasemissa on agentti asennettuna.

4.1.2 Pull asennus

Pull asennusta voidaan käyttää tarvittaessa, jos kohde työasema on esimerkiksi VPN-

yhteyden takana, eikä palvelin saa siihen yhteyttä. Tällöin käyttäjälle lähetetään

sähköpostilla linkki mistä hän voi itse käynnistää asennuksen.

4.1.3 Symantec Management Agentin Aliagentit

Symantec Management Agentin alla toimii vielä useita aliagentteja, mitkä pitävät

huolen siitä, että kaikki Management Platformin toiminnallisuudet toimivat

työasemassa. Osa agenteista asennetaan automaattisesti Symantec Management

Agentin asennuksen yhteydessä ja osa asennetaan erillisten policyjen avulla

myöhemmin.

Aliagenttien asennuspolicyissä on määritelty kohderyhmäksi työasemat, joissa on

Symantec Management Agent, mutta ei kyseistä aliagenttia. Symantec Management

Agentin asennuksen jälkeen agentti tarkistaa palvelimelta onko sille mitään tehtäviä,

jolloin se saa tehtäväkseen asentaa loput aliagentit.

Listaan vielä kaikki aliagentit joita olemme Instassa ottaneet käyttöön, mutta en

kerro niistä sen syvällisemmin. Agenttien nimet kertovat hyvin niiden

toiminnalisuudesta.

- Altiris Base Task Handlers

- Altiris Client Task Agent

- Altiris Inventory Agent

- Altiris Power Scheme Agent

- Altiris Software Update Agent

- Inventory Rule Agent

- Software Management Framework Agent

10 (31)

- Software Management Solution Agent

- Symantec pcA Agent (pcAnywhere)

4.2 Altiris Dagent

Altiris Dagent on Deployment Solutionin agentti. Tämä agentti asennetaan Altiris

Deployment Solution Consolesta push asennuksena manuaalisesti tai siitä voidaan

tehdä esimerkiksi Notification Serverillä asennuspaketti ja suorittaa asennus sitä

kautta.

11 (31)

5 Esimerkkejä Management Platformin toiminnasta

Seuraavissa kappaleissa perehdytään Symantec Management Platformin toimintaan

hieman syvällisemmin. Mukana on myös muutama esimerkki eri toiminnallisuuksien

käyttämisestä.

5.1 Inventointi

Inventointia varten työasemille on asennettu inventory agent. Inventory agent saa

tiedon palvelimelta milloin inventaario suoritetaan ja mitä kaikkea inventoidaan. Kun

inventoinnin aika koittaa, alkaa inventory agent skannata työasemaa, minkä jälkeen

se lähettää kerätyt tiedot Notification Serverin kautta tietokantaan.

Inventointi on määritelty tehtäväksi joka maanantai klo 23.00 (Kuvio 1). Mikäli

työasema ei ole tuolloin käynnissä, inventointi tehdään sen jälkeen kun työasema

seuraavan kerran käynnistetään.

Kuvio 1. Inventointi

5.2 Tietoturvapäivitykset

Ennen kuin tietoturvapäivityksiä voidaan lähteä asentamaan, tarvitaan tieto siitä, mitä

päivityksiä millekin työasemalle on jo asennettu. Tämä tarkistus on hoidettu siten,

että joka neljän tunnin välein työasemalla ajetaan microsoft vulnerability analysis.

Näin Notification Serverillä on lähes reaaliaikainen tieto työasemien tietoturvasta ja

tämän jälkeen tiedetään mitä päivityksiä mistäkin työasemasta puuttuu.

Microsoftin ja Adoben päivitykset saadaan jaettua Notification Serverin Patch

Remediation Centerin avulla (Kuvio 2). Päivitykset tulevat näkyviin Patch

Remediation Centeriin pienellä viiveellä niiden ilmestymisen jälkeen. Tämä johtuu

12 (31)

siitä, että Symantec lisää päivityspaketteihin hieman informaatiota ja julkaisee ne

vasta tämän jälkeen.

Kuvio 2. Patch Remediation Center

Päivitykset näkyvät software bulletin muodossa. Software bulletin pitää sisällään

joko yhden tai useampia päivityksiä. Samassa software bulletinissa voi olla jonkin

tietty päivitys useille eri käyttöjärjestelmille tai vastaavasti jonkin tietyn ohjelman eri

versioille.

Kun uusi software bulletin julkaistaan, se tulee näkyviin patch remediation centeriin.

Tämän jälkeen valitun bulletinin päällä painetaan oikeaa hiiren painiketta ja valitaan

vaihtoehto stage. Tämä tarkoittaa sitä, että päivitykset ladataan altiris palvelimelle.

Altiris palvelin ei lataa automaattisesti kaikkia bulletineja, mikä on sinänsä hyvä asia,

sillä patch remediation centerissä on päivityksiä 90-luvun lopulta tähän päivään,

joten päivitysten määrä on erittäin suuri. Kun päivitykset ovat latautuneet, valitaan

halutun bulletinin kohdalla hiiren oikealla painikkeella sofware update policy wizard.

Software update policy wizardissa saadaan valittua muun muassa haluttu

kohderyhmä ja bulletinin sisältämät päivitykset (Kuvio 3).

13 (31)

Kuvio 3. Software Update Policy Wizard 1

Jos bulletin sisältää päivityksiä sellaisiin käyttöjärjestelmiin mitä ei ole käytössä,

voidaan ne poistaa tässä vaiheessa (Kuvio 4). Tällaisia käyttöjärjestelmiä ovat

esimerkiksi 64 bittiset Windows XP:t. Lopuksi vielä laitetaan tehty policy päälle ja

painetaan distribute software updates nappia.

Kuvio 4. Sofware Update Policy Wizard 2

Kun policy on valmis ja se on laitettu päälle, alkavat työasemat saada tietoa siitä, että

ne ovat tämän policyn kohderyhmässä. Symantec Management Agent tarkastaa

tunnin välein palvelimelta onko uusia policyjä tullut jakoon. Jos työasema kuuluu

14 (31)

uuden policyn kohderyhmään, se alkaa välittömästi tarkistaa onko työasemalle jo

aikaisemmin asennettu samaa päivitystä esimerkiksi automaattisten päivitysten

kautta.

Mikäli työasemalta löytyy jo asennettuna sama päivitys, ei sitä aleta asentamaan

uudestaan, vaan se merkataan jo asennetuksi. Tällainen päivitys jää Symantec

Management Agenttiin näkyviin statuksella installed by user (Kuvio 5). Jos kyseistä

päivitystä ei ole vielä asennettu työasemalle, se ladataan altiris palvelimelta

työasemalle ja ajastetaan asennettavaksi seuraavana yönä klo 03.00. Mikäli työasema

ei ole tuolloin käynnissä, suoritetaan asennus sitten, kun työasema seuraavan kerran

käynnistetään. Kun päivitys on viimein asennettu, se jää Symantec Management

Agentiin näkyviin statuksella installed.

Kuvio 5. Työasemalle asennetut ohjelmistopäivitykset

5.3 Ohjelmistopakettien luominen

Ohjelmistopakettien luomissa on tärkeää ottaa huomioon muutamia asioita.

Ensinnäkin ohjelman on asennuttava ilman, että käyttäjän tarvitsee puuttua

asennukseen. Ohjelma on myös tarvittaessa pystyttävä poistamaan, päivittämään tai

korjaamaan.

Ohjelmistopaketin määrityksissä tulisi olla ainakin komentorivit ohjelman

asennukselle ja poistamiselle. Joissain ohjelmissa voidaan myös käyttää

korjausasennusta ja tälle tarvitaan oma komentorivi. Esimerkkinä käytän Microsoft

Visio Professional 2003 ohjelmaa.

15 (31)

5.3.1 Microsoft Visio Professional 2003 asennuspaketin luominen

Ensimmäisenä asennusmedia on kopioitava Management Platform palvelimelle,

minkä jälkeen luodaan uusi ohjelmistojulkaisu. Ohjelmistojulkaisu voidaan luoda

Symantec Management Consolessa: Software > Software Catalog > Deliverable

Software > Releases.

Ensimmäiseksi annetaan ohjelmistojulkaisulle perustiedot kuten nimi, versio, ja

valmistaja. Seuraavaksi luodaan ohjelmistojulkaisulle komentorivit. Komentorivi

ohjelman asennukselle ilman, että asennus näkyy käyttäjälle:

msiexec.exe /i "VISPRO.MSI" /qn TRANSFORMS="Visio2003.mst"

REBOOT=ReallySuppress (Kuvio 6).

Msiexec.exe suorittaa asennustiedoston ja sen perässä oleva /i tarkoittaa, että

kyseessä on asennus (install). VISPRO.MSI on asennuspaketin nimi ja /qn

tarkoittaa, että kyseessä on hiljainen asennus, jolloin se ei näy käyttäjälle.

Asennukseen on liitetty tiedosto Visio2003.mst, missä määritellään muun muassa

asennuskoodi ja ohjelmiston perusasetukset. Visio2003.mst on tehty Microsoftin

omalla Custom Installation Wizard apuohjelmalla. REBOOT=ReallySuppress

tarkoittaa sitä, ettei työasemaa käynnistetä automaattisesti uudestaan.

Kuvio 6. Microsoft Visio 2003 Pro hiljaisen asennuksen komentorivi

16 (31)

Komentorivi ohjelman poistamiselle on seuraava (Kuvio 7):

msiexec.exe /x {90510409-6000-11D3-8CFE-0150048383C9} /qn

Tässä komentorivissä oleva /x tarkoittaa, että kyseessä on ohjelman poistaminen

(uninstall). Tämän jälkeen oleva {90510409-6000-11D3-8CFE-0150048383C9} on

ohjelman tuotekoodi eli tässä tapauksessa Microsoft Visio Professional 2003.

Kuvio 7. Microsoft Visio 2003 pro asennuspaketti ja komentorivit

Komentorivi korjausasenukselle:

msiexec.exe /fomus {90510409-6000-11D3-8CFE-0150048383C9} /qn

Tässä komentorivissä /fomus pitää sisällään monta parametria.

• f = Kyseessä on korjausasennus.

• o = Asentaa tiedoston uudelleen mikäli tiedosto puuttuu tai on vanhempaa

versiota.

• m = Ylikirjoittaa kaikki tarvittavat tietokonekohtaiset rekisterimerkinnät.

• u = Ylikirjoittaa kaikki tarvittavat käyttäjäkohtaiset rekisterimerkinnät.

• s = Ylikirjoittaa kaikki pikakuvakkeet

Jokaiseen komentoriviin määritellään myös succes codet (Kuvio 6). Eli asennus

ohjelma palauttaa success coden, mikäli asennus on mennyt onnistuneesti läpi. MSI

paketin asennuksessa succes codet ovat aina 0, 1641 ja 3010. Failure codeja ei

tarvitse erikseen määritellä, sillä jos asennus palauttaa jokin muun koodin kuin 0,

1641 tai 3010 on asennus epäonnistunut.

Kun komentorivit ovat valmiit, luodaan ohjelmistojulkaisulle tunnistussääntö.

Tunnistussäännöllä varmistetaan, ettei ohjemaa asenneta sellaiseen työasemaan

17 (31)

mihin se on jo aiemmin asennettu. Tunnistussääntöön määritellään ohjelman MSI

tuotekoodi (Kuvio 8). Tunnistussääntö suoritetaan ennen ohjelman asennuksen

käynnistymistä ja jos kyseinen ohjelma havaitaan työasemalla, asennusta ei suoriteta.

Kuvio 8. Microsoft Visio Professional 2003 tunnistussääntö

5.3.2 Microsoft Visio Professional 2003 Service Pack 3 asennuspaketin luominen

Service Pack asennuspaketin luominen tapahtuu pääosin samalla tavalla, kuin

ohjelmistojulkaisun luominen. Service Pack asennuspaketti luodaan Symantec

Management Consolessa: Software > Software Catalog > Deliverable Software >

Updates and Service Packs. Service Packiin ei tarvita kuin yksi komentorivi

asennukselle, koska niitä ei yleensä pysty poistamaan erikseen. Mikäli service packin

haluaa poistaa, on poistettava koko sovellus mihin se on asennettu.

Service packin komentorivillä käytetään /p parametria, mikä ilmaisee, että kyseessä

on päivitys (patch) (Kuvio 9). Service packin asennuspaketin nimi on visiosp3.msp.

Kuvio 9. Microsoft Visio 2003 pro SP3 asennuspaketti ja komentorivi

Service packin tunnistussääntö poikkeaa Vision tunnistussäännöstä, sillä service

packia asennettaessa ei riitä pelkästään se tieto, että onko Visio asennettu

työasemalle vai ei. Työasemalla saattaa olla asennettuna pelkkä Visio ilman service

18 (31)

packejä tai siellä voi olla Visio service pack 1, 2 tai 3. Tunnistus pystytään tekemään

tutkimalla rekisteriavaimia.

Tutkitaan rekisteristä avainta:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni

nstall\{90510409-6000-11D3-8CFE-0150048383C9}. Jos tämä polku löytyy, on

Visio asennettu työasemalle, mutta se ei vielä riitä. Tunnistussääntö tarkastelee

rekisteriavaimen DisplayVersion arvoa. Mikäli arvo on 11.0.8173.0, on Microsoft

Visio Professional SP3 asennettu työasemalle, eikä service pack 3:sta tarvitse asentaa

(Kuvio 10). Mikäli arvo on jokin muu, asennetaan Vision service pack 3 työasemalle.

Tässä täytyy vielä huomata, että jos Microsoft Visio Professional 2003:een tulee

jokus service pack 4, tämä tunnistussääntö ei enää päde. Edellä mainitun

rekisteriavaimen DisplayVersion arvo muuttuisi suuremmaksi, jolloin asennus

yrittäisi päivittää service pack 4 versiota vanhemmalla service pack 3:lla mistä

saattaisi aiheutua ongelmia.

Kuvio 10. Microsoft Visio 2003 pro SP3 tunnistussääntö

5.4 Ohjelmistopakettien jakaminen

Tehdyt ohjelmistojulkaisut voidaan jakaa työasemille kolmella eri tavalla:

• Managed software delivery

• Quick delivery

• Software portal

19 (31)

5.4.1 Keskitetty asennus (Managed software delivery)

Managed software delivery on policypohjainen tapa jakaa ohjelmistopaketteja

työasemille. Tätä käytetään yleensä jaettaessa ohjelmistopakettia suuremmalle

määrälle työasemia. Luodaan uusi policy, mihin määritellään haluttu

ohjelmistopaketti tai useita paketteja. Esimerkkitapauksessa policyyn lisättiin kaksi

ohjelmistopakettia: Microsoft Visio Professional 2003 ja Microsoft Visio

Professional 2003 SP3 (Kuvio 11).

Tämän jälkeen määritellään kohderyhmä. Kohderyhmän koko voi vaihdella yhdestä

työasemasta satoihin työasemiin (Kuvio12). Mikäli kohderyhmän koko on suuri,

Notification Server osaa jakaa ohjelmiston asennusta eri työasemille siten, ettei

verkko kuormitu liikaa. Kohderyhmän määrittämiseen käytetään yleisimmin

suotimia (filter).

Kuvio 11. Microsoft Visio Professional 2003 keskitetty asennus.

20 (31)

Kuvio 12. Microsoft Visio Professional 2003 keskitetyn asennuksen kohderyhmä.

Lopuksi määritellään vielä ajastus (schedule). Asennus voidaan määrittää ajettavaksi

kerran tiettynä ajankohtana tai se voidaan toistaa esimerkiksi päivittäin niin kauan,

että ohjelmisto on asentunut kaikkiin työasemiin (Kuvio 13). Työasemien Symantec

Management Agentit tarkastavat tunnin välein onko uusia policyja tullut jakoon ja

näin ne saavat tiedon siitä mitä pitää tehdä. Kun agentti saa tiedon asennettavasta

ohjelmistosta, alkaa se ladata asennuspakettia työasemalle. Asennuspaketin

ladattuaan, agentti jää odottamaan asennusajankohtaa ja suorittaa sitten asennuksen.

Kuvio 13. Microsoft Visio Professional 2003 keskitetyn asennuksen ajastus.

5.4.2 Pika-asennus (Quick delivery)

Quick delivery tehtävää (task) käytetään lähinnä ohjelmiston asentamiseen

yksittäiselle työasemalle. Quick delivery on myös mahdollista suorittaa usealle

työasemalle samanaikaisesti. Quick run toiminnolla ohjelmiston asennus käynnistyy

välittömästi sen jälkeen, kun kohdetyöasema on valittu. Mikäli kohdetyöasema on

21 (31)

esimerkiksi samutettuna tai ei ole kytkettynä verkkoon, asennus epäonnistuu. Quick

delivery tehtäviä voi myös linkittää yhteen tekemällä asennustyön (Job) (Kuvio 14).

Kuvio 14. Microsoft Visio Professional 2003 SP3 pika-asennus.

5.4.3 Ohjelmistoportaali (Software portal)

Ohjelmistojen jakaminen onnistuu myös Notication Serverin software portalin

kautta. Tehty ohjelmistopaketti voidaan julkaista software portaalissa ja se voidaan

kohdistaa joko yhdelle tai useammalle käyttäjälle tai käyttäjäryhmälle (Kuvio 15).

Kuvio 15. Ohjelmiston julkaisu Software Portaalissa

22 (31)

Software portal toimii internetselaimessa ja se vaatii kirjautumisen

domaintunnuksilla.

Software portaaliin julkaistuja ohjelmistoja käyttäjä voi itse asentaa työasemalleen,

mikäli ohjelmisto on valmiiksi hyväksytty. Tällaisia ovat esimerkiksi ilmaiset

apuohjelmat tai kaikille käyttäjille lisensoidut ohjelmistot (Kuvio 16).

Käyttäjä valitsee haluamansa ohjelmiston listalta ja painaa request sofware nappia,

jolloin ilmestyy kysely asennuksen ajankohdasta. Kun ajankohta on valittu, painetaan

ok. Asennus alkaa valittuna ajankohtana ja tapahtuu hiljaisesti eli käyttäjältä piilossa.

Kuvio 16. Software Portal

5.5 Raportointi

Notification server pitää sisällään valmiita raportteja, mitä on helppo käyttää. Monet

valmiit raportit sisältävät kuitenkin myös epäolennaista tietoa, sekä niistä saattaa

puuttua jotain tärkeitä tietoja. Raporteissa käytetään inventoinnista saatuja tietoja.

Raporttia suoritettaessa Notification Server hakee raportin sisältämät tiedot SQL

tietokannasta.

Työasemien ajanmukaisuutta tietoturvapäivitysten osalta voidaan tarkkailla monilla

eri raporteilla. Yksi tällainen raportti on Microsoft Compliance by Bulletin, mikä

näyttää jokaisen bulletinin ja sen moneenko työasemaan se on asennettu. Raportista

näkee compliance prosentin, mikä lasketaan suoraan kohdekoneiden määrästä ja

asennetuista bulletineista. Eli jos asennuksia on yhtä monta kuin kohdekoneita, on

compliance tällöin 100%.

23 (31)

Hieman samanlainen raportti on Microsoft Compliance by Computer. Tässä näemme

compliance prosentin jokaisen työaseman kohdalla. Mikäli jollain työasemalla

prosentti on kovin pieni, voidaan tilannetta tutkia tarkemmin ja selvittää, miksi

tietoturvapäivitykset eivät ole työasemalle asentuneet. Tässä raportissa pääsee

näkemään myös mitkä tietoturvapäivitykset työasemalta puuttuvat painamalla

halutun koneen kohdalla oikeaa hiiren painiketta ja valitsemalla vaihtoehto view

vulnerable updates.

5.6 Suodattimet (Filtterit)

Filttereiden avulla saadaan helposti tehtyä erilaisia ryhmiä työasemista ja näitä

voidaan sitten käyttää Notification Serverin eri toiminnoissa. Filtterit voivat olla joko

staattisia tai dynaamisia. Staattisen filtterin sisältö pysyy muuttumattomana ja

dynaamisen filtterin sisältö muuttuu. Staattinen filtteri voi olla esimerkiksi sellainen,

mihin on käsin määritelty ryhmä työasemia.

Dynaaminen filtteri puolestaan voi sisältää esimerkiksi kaikki kannettavat

tietokoneet (Kuvio 17). Filtteri päivittyy automaattisesti kun uusia kannettavia tulee

lisää tai vanhoja poistuu. Filttereitä voi myös muodostaa yhdistämällä jo olemassa

olevia filttereitä. Voidaan esimerkiksi luoda filtteri, mikä sisältää kaikki työasemat.

Tämä saadaan helposti yhdistämällä kaikki pöytäkoneet ja kaikki kannettavat

sisältävät filtterit. Liitteessä 1 on esitelty tarkemmin erään filtterin rakennetta.

Kuvio 17. Esimerkkifiltteri

24 (31)

5.7 Käyttöjärjestelmien asennukset

Käyttöjärjestelmien asennus on toteutettu käyttämällä levyimagea. Levyimage on

tavallaan kopio kovalevyn sisällöstä, mikä pitää sisällään käyttöjärjestelmän, ajurit,

osan ohjelmistoista, sekä tietoturvapäivitykset.

5.7.1 Asennusten valmistelu

Käyttöjärjestelmien asennuksia varten pitää ensiksi luoda media jolta

asennusympäristö käynnistetään. Asennusympäristönä toimii Windows PE 2.1

käyttöjärjestelmä. Ensimmäiseksi luodaan haluttu konfiguraatio Altiris Boot Disk

Creator ohjelmalla. Konfiguraatioon määritellään tarpeelliset asetukset kuten

palvelimen IP osoite ja käytettävä portti, palvelimella sijaitseva jaettu verkkoasema

ja käyttöoikeudet sen käyttämiseen.

Konfiguraatioon lisätään myös kaikkien käytössä olevien verkkokorttien ajurit, että

se toimisi kaikissa työasemissa. Kun konfiguraatio on valmis, voidaan sen pohjalta

luoda bootti CD tai boottaava USB-tikku (Kuvio 18). Kun työasema käynnistetään

tältä medialta, se ottaa yhteyden Deployment Solutioniin ja jää odottamaan käskyjä.

Kuvio 18. Altiris Boot Disk Creator

25 (31)

5.7.2 Levyimagen luonti

Asennusprosessi alkaa siitä kun uusi työasema saapuu. Siinä on esiasennettuna

Windows ja tarvittavat ajurit. Tämän jälkeen työasemaan asennetaan tarvittavat

sovellukset ja uusimmat tietoturvapäivitykset. Kun kaikki tarpeellinen on asennettu,

otetaan työasemasta levynkuva (Image). Jotta levyimage voidaan ottaa, pitää

työasema käynnistää Altiris bootti CD:ltä ta USB-tikulta. Kun yhteys palvelimeen on

muodostettu, tulee työasema näkyviin Deployment Consoleen (Kuvio 19).

Deployment Consolessa luodaan tehtävä (task), mihin määritellään tarvittavat

asetukset levyimagen luontia varten. Tehtävä saadaan käynnistettyä siten, että

Deployment Console ikkunassa se raahataan hiirellä työaseman päälle ja

hyväksytään tehtävän käynnistys.

5.7.3 Levyimagen asennus

Ensiksi luodaan asennustehtävä (Distribute Disk Image) aikaisemmin luodusta

levyimagesta (Kuvio 19). Tämän jälkeen työasema käynnistetään

esiasennusympäristöön. Kun työasema tulee näkyviin Deployment Consoleen,

raahataan asennustyö oikean työaseman päälle ja hyväksytään tehtävän käynnistys.

Asennuksissa käytetään Microsoftin sysprep työkalua, millä yksilöidään jokainen

Windows asennus. Sysprep työkalu luo jokaiselle työasemalle oman SID:n (Security

Identifier), jolloin asennetut työasemat eivät ole klooneja keskenään.

26 (31)

Kuvio 19. Deployment Console

5.8 Etähallinta

Altiriksessa on kaksi eri etähallintamahdollisuutta. Deployment Solutionissa on oma

etähallintansa, mikä käyttää yhteyden luomiseen oman agenttinsa (Dagent) apua.

Notification Serverin puolella voidaan käyttää pcAnywhere nimistä etähallintaa,

mutta tämä vaatii erillisen pcAnywhere agentin asentamisen työasemalle.

5.8.1 Deployment Solution Server etähallinta

Deployment Solution Server etähallinta on nopea ja helppo tapa ottaa etäyhteys

työasemaan. Deployment Consolessa valitaan vain haluttu työasema ja painetaan

remote control nappia, jolloin käyttäjän työpöydälle tulee kysely siitä, että salliiko

hän etäyhteyden muodostamisen. Tiedostojen kopiointi kohdekoneelle on myös tehty

helpoksi etähallinnan kautta. Hallintaikkunassa painetaan vain tiedoston kopiointi

nappia, valitaan kopioitava tiedosto ja kohdekansio.

27 (31)

5.8.2 pcAnywhere etähallinta

pcAnywhere etähallinta käynnistetään Symantec Management Consolesta, minkä

jälkeen kirjoitetaan halutun työaseman nimi ja painetaan connect nappia (Kuvio 20).

pcAnywhere:n käyttäminen vaatii järjestelmänvalvojan oikeudet, joita se kysyy

kirjauduttaessa kohdetyöasemalle. Tämän lisäksi käyttäjän on vielä hyväksyttävä

yhteydenottopyyntö ennen kuin etäyhteys voidaan muodostaa.

Kuvio 20. pcAnywhere etähallinnan käynnistys

pcAnywhere:ssä on monia hyödyllisä toimintoja kuten esimerkiksi tiedostojen siirto,

chat, istunnon tallennus videoksi, kuvakaappausten ottaminen ja white board (Kuvio

21). White board on työkalu, millä voi piirtää käyttäjän näytölle havainnollistavia

kuvia.

28 (31)

Kuvio 21. pcAnywhere etäyhteysikkuna

pcAnywhere:llä on mahdollista hallita työasemia, olivatpa ne sitten missä päin

maailmaa tahansa. Tämä vaatii tosin erillisen Access Serverin pystyttämistä. Access

Server toimii siten, että se on yrityksen verkon ulkopuolella ja Notification Server

muodostaa siihen yhteyden. Myös kaikki työasemat muodostavat siihen yhteyden

kunhan niillä vain on ensiksi Internet-yhteys. Tämän jälkeen Access Server toimii

tavallaan välittäjänä palvelimen ja työaseman välillä.

PcAnywhere tukee monia eri käyttöjärjelmiä kuten Windows, Linux, Mac ja

Microsoft pocket PC.

29 (31)

6 Yhteenveto

Kuukausia kestäneen käyttöönoton jälkeen Symantec Management Platform on saatu

onnistuneesti käyttöön Insta Group Oy:ssä. Käyttöönottoa pidensi se asia, että sitä

tehtiin muiden töiden ohella eikä täysipäiväisesti.

Tälle työlle asetetut tavoitteet ovat mielestäni saavutettu varsin hyvin. Symantec

Management Platform on tuotantokäytössä ja kirjallinen osuuskin on valmis.

Tarkoituksenahan ei ollut tehdä ohjekirjaa, vaan Symantec Management Platformin

käyttöönottoa ja käyttöä helpottava ja valaiseva dokumentti.

Symantec Management Platformin parissa tehtävä työ tulee jatkumaan

tulevaisuudessa ylläpidon merkeissä. Lisäksi pyrimme myös tehostamaan eri

toiminnallisuuksien käyttöä maksimaalisen hyödyn saavuttamiseksi.

30 (31)

Lähteet Griffith, David 2009. Altiris Client Management Suite 7.x: Software Management. Griffith, David 2009. Altiris Client Management Suite 7.x: Inventory Solution. Griffith, David 2009. Altiris Client Management Suite 7.x: Patch Management. Jones, Rick 2006. Altiris Deployment Solution Foundation Student Guide. Altiris Knowledgebase. https://kb.altiris.com

31 (31)

Liitteet

Liite 1: Esimerkki filtterin SQL kyselystä Seuraavassa esimerkissä nähdään miten muodostuu filtteri, mikä pitää sisällään kaikki Windows työasemat. Esimerkistä nähdään, että filtteri kerää tietokannasta kaikki työasemat, joihin on asennettu Symantec Management Agent (IsManaged = 1) ja jokin seuraavista Windows versioista. Windows 95, 98, ME, NT, 2000, XP, Vista, 7 tai PE. SELECT

[vri1_Computer].[Guid] AS [_ResourceGuid]

FROM

[vRM_Computer_Item] AS [vri1_Computer]

INNER JOIN [Inv_AeX_AC_Identification] AS [dca2_AeX AC Identification]

ON ([vri1_Computer].[Guid] = [dca2_AeX AC Identification].[_ResourceGuid])

INNER JOIN [vComputerResource] AS [ajs3_vComputerResource]

ON ([vri1_Computer].[Guid] = [ajs3_vComputerResource].[Guid])

WHERE

(

(

([ajs3_vComputerResource].[IsManaged] = 1) AND

(

([dca2_AeX AC Identification].[OS Name] = N'Microsoft Windows 95')

OR

([dca2_AeX AC Identification].[OS Name] = N'Microsoft Windows 98')

OR

([dca2_AeX AC Identification].[OS Name] = N'Microsoft Windows ME')

OR

(

([dca2_AeX AC Identification].[OS Name] = N'Microsoft Windows NT') AND

([dca2_AeX AC Identification].[OS Type] = N'Workstation')

)

OR

(

([dca2_AeX AC Identification].[OS Name] = N'Microsoft Windows 2000') AND

([dca2_AeX AC Identification].[OS Type] = N'Professional')

)

OR

([dca2_AeX AC Identification].[OS Name] LIKE N'Microsoft Windows XP%')

OR

([dca2_AeX AC Identification].[OS Name] LIKE N'%Vista%')

OR

([dca2_AeX AC Identification].[OS Name] LIKE N'%Windows 7%')

OR

(LOWER([dca2_AeX AC Identification].[OS Name]) LIKE N'%preinstallation

environment%')

)

)

)